Cybersäkerhetsföretaget Proofpoint släpper i dag en ny rapport som identifierar att en hackergrupp med kopplingar till Kina kraftigt ökat sin aktivitet i Europa – detta samtidigt som kriget i Ukraina har intensifierats.
Syftet är att leverera skadlig programvara till olika typer av diplomatiska mål.
- Hotaktören i fråga, TA416, är känd för sina kopplingar till kinesiska staten och har riktat in sig på Europa i flera år. Proofpoint har spårat aktören sedan 2020, och attackerna har ökat kraftigt sedan ryska trupper började samlas vid gränsen till Ukraina.
- På senare tid har TA416 börjat använda en komprometterad e-postadress tillhörande en diplomat från ett europeiskt Nato-land för att rikta in sig på andra länders diplomatiska kontor. Diplomaten i fråga arbetade inom flykting- och migranttjänster.
- I tidigare kampanjer från TA416 har gruppen använt en så kallad ”web bug” för att kartlägga sina offer. Dessa indikerar för angriparen att det tilltänkta mejlkontot är giltigt och att offret är benäget att öppna e-postmeddelanden.
- De riktade kampanjerna inkluderar skadliga länkar och falska dokument relaterade till ukrainska flyktingar, med syftet att leverera den skadliga koden PlugX – en RAT (Remote Access Trojan) som när den är installerad kan användas för att fullständigt kontrollera offrets maskin.
“Tillvägagångssättet tyder på att TA416 är mer noggranna kring vem man väljer för att skicka skadlig programvara till. Detta kan vara ett försök från TA416 att undvika att deras skadliga verktyg upptäcks och offentliggörs. Genom att begränsa sig till mål som har visat sig vara aktiva och villiga att öppna e-post ökar TA416 sin chans att lyckas”, skriver Proofpoint.